Milliónyi PC-re kerültek fel káros Chrome bővítmények

​Több mint egymillió számítógépre került fel az az öt Chrome bővítmény, amelyek a háttérben kémlelték a felhasználók böngészési szokásait.
 

A McAfee biztonsági kutatói a legutóbbi vizsgálódásuk során Chrome webböngészőhöz letölthető kiegészítőket vettek górcső alá. Az ellenőrzéseik során öt olyan - meglehetősen azonos módon működő - bővítményre akadtak, amelyekről kiderült, hogy nemcsak azzal a funkcionalitással rendelkeznek, amit a leírásuk sugall.
 
A kiberbűnözők körében a webböngészőkhöz telepíthető bővítményekkel való visszaélések nem számítanak szokatlan jelenségnek. Az ilyen jellegű akcióik során elsősorban a felhasználók böngészési szokásait kémlelik, manipulálják a megjelenő weblapokat, és gyakorta online hirdetésekhez kapcsolódó trükközésekkel próbálnak bevételre szert tenni. Ezt tették azok a csalók is, akik az alábbi öt bővítményt terjesztették a hivatalos Chrome webáruházban:

• Netflix Party - 800,000 letöltés
• Netflix Party 2 - 300,000 letöltés
• Full Page Screenshot Capture - Screenshotting - 200,000 letöltés
• FlipShope - Price Tracker Extension - 80,000 letöltés
• AutoBuy Flash Sales - 20,000 letöltés

 
Fontos megjegyezni, hogy a fenti kiegészítőkhöz például a Netflix-nek semmi köze sincs, a csalók csupán a vállalat ismertségével igyekeztek visszaélni.
 
Az összességében 1,4 millió letöltést számláló bővítmények a telepítésük után minden olyan funkciót biztosítottak, amit a leírásukban a fejlesztőik ígértek, így a felhasználók nagy valószínűséggel nem is gyanakodtak arra, hogy bármi probléma lehet. Csakhogy a telepítést követő 15. napon a kiegészítőkben aktiválódtak azok az összetevők, amik a háttérben nemkívánatos műveleteket kezdtek végrehajtani. Ettől kezdve, amikor a felhasználó megtekintett egy weboldalt, akkor a kiegészítők egy előre meghatározott domain név alatt működő szerver felé továbbították az alábbi adatokat (Base64 kódolással):

• felkeresett weboldal címe (URL-je)
• felhasználói azonosítók
• helyinformációk.

 
Amennyiben a letöltött weblap címe szerepelt a kiegészítők erre a célra kialakított adatbázisában, akkor a kiegészítők vagy manipulálták a weboldalak kódját, vagy módosították a kapcsolódó sütiket.